| Oracle® Fusion Middleware Identity Managementリリース・ノート 11gリリース2 (11.1.2.2) B72796-06 |
|
 前 |
 次 |
この章では、Oracle Privileged Account Managerに関連する問題について説明します。次のトピックが含まれます:
この項では、一般的な問題および回避策について説明します。次のトピックが含まれます:
第8.1.3項「Oracle Privileged Account ManagerのRestful APIで非推奨になった機能」
第8.1.4項「Oracle Privileged Session Managerセッションのチェックアウト中にスレッド数が増え続ける」
第8.1.5項「Oracle Database 12.1の使用時にUnlimited Tablespace権限が存在しない」
第8.1.8項「Oracle Privileged Account Managerサーバーから消失したデータベース接続」
Oracle Privileged Account Managerコマンド行ツール・メッセージおよびヘルプは、Oracle Privileged Account Manager 11.1.2.0.0リリースでは翻訳されていませんでした。
Oracle Privileged Account Managerコマンド行ツールのメッセージおよびヘルプの翻訳サポートは、11.1.2.0.0リリースの後に提供されます。
Oracle Privileged Account Managerの管理ロールを作成する際、ロールが作成される場所は、idmConfigToolに渡されるプロパティ・ファイルのIDSTORE_GROUPSEARCHBASEではなく、IDSTORE_SEARCHBASEの下になります。このため、アイデンティ・ストアに対するオーセンティケータの構成がより複雑になり、『Oracle Fusion Middleware Oracle Privileged Account Manager管理者ガイド』のアイデンティティ・ストアの準備に関する項で説明されているプロセスと相違が生じます。
回避策: この問題に対処するには、BLRパッチ#16570348を適用します。このパッチは、次の場所にあるMy Oracle Supportからダウンロードできます。
http://www.oracle.com/pls/topic/lookup?ctx=acc&id=info
このパッチを適用すると、idmConfigToolは『管理者ガイド』に記載されているとおりに動作するようになります。
次の表に、Oracle Fusion Middleware 11gリリース2 (11.1.2.1.0)では利用可能で、11gリリース2 (11.1.2.2.0)では非推奨になったOracle Privileged Account ManagerのRESTful APIを示します。また、この表には同等の新規APIと、それらの新規APIの使用方法が記載されたOracle Fusion Middleware Oracle Privileged Account Manager管理者ガイドのトピックへのリンクも示します。
| 非推奨になったAPI (11gr2 11.1.2.1.0) | 新規API (11gr2 11.1.2.2.0) | 参照先トピック |
|---|---|---|
ターゲット・リソースのサービス・アカウント・パスワードの表示 |
ターゲット・リソースのサービス・アカウント・パスワードの表示 |
ターゲット・リソースのサービス・アカウント・パスワードの表示に関する項 |
アカウント・リソースのパスワードの表示 |
アカウント・リソースのパスワードの表示 |
アカウント・リソースのパスワードの表示に関する項 |
アカウント・リソースのパスワード履歴の表示 |
アカウント・リソースのパスワード履歴の表示 |
アカウント・リソースのパスワード履歴の表示に関する項 |
UIリソースのアカウントの検索 |
アカウント・リソースのアカウントの検索 |
アカウント・リソースのアカウントの検索に関する項 |
UIリソースの割当て済アカウントの検索 |
アカウント・リソースの割当て済アカウントの検索 |
アカウント・リソースの割当て済アカウントの検索に関する項 |
UIリソースのすべてのチェックアウト済アカウントの取得 |
アカウント・リソースのすべてのチェックアウト済アカウントの取得 |
アカウント・リソースのすべてのチェックアウト済アカウントの取得に関する項 |
Oracle Privileged Session Managerセッションのチェックアウト中にスレッド数が増え続けないようにするには、各UNIXターゲット・ノードに次のアイドル接続タイムアウトを実装し、接続が20分間アイドル状態になったときに、その接続をクローズする必要があります。
ClientAliveInterval 600 ClientAliveCountMax 2
ClientAliveIntervalの値は秒単位です。
たとえば、Linuxでは/etc/ssh/sshd_configファイルを編集して、これらのパラメータを追加する必要があります。
|
注意: ClientAliveIntervalおよびClientAliveCountMaxキーワードの詳細は、sshd_configのUNIXマニュアル・ページを参照してください。 |
Oracle Database 12.1.0.1以降の使用時、Oracle Privileged Account Managerの操作はデータベース・エラーで失敗します。このエラーはOracle Privileged Account Managerのサーバー・ログに、次のように表示されます。
<Error> <oracle.idm.opam> <BEA-000000> <OPAMSQLManager.executeUpdateStatementSQLException occurred SQLErrorCode=1950 SQLErrorMesg=ORA-01950: no privileges on tablespace 'DEV_OPAM_BINSTORE'>
12.1リリースから、Oracle DatabaseはResource DBロールに割り当てられたUnlimited Tablespace権限を削除します。この権限の削除によって、Oracle Privileged Account Managerの操作に関する問題が発生します。Oracle Database 12.1リリースでの変更点については、次を参照してください。
http://docs.oracle.com/cd/E16655_01/network.121/e17607/release_changes.htm#DBSEG941
回避策: SQLPLUSを使用し、SYSユーザーとしてOracle Databaseにログインします。無制限の表領域をOracle Privileged Account Managerスキーマ・ユーザーに付与するには、次のSQLコマンドを実行します。
grant unlimited tablespace to <opam_schema>;
たとえば、Oracle Privileged Account Managerスキーマ名がdev_opamである場合、次のコマンドを実行します。
grant unlimited tablespace to dev_opam;
セッションの開始に、Oracle Privileged Account ManagerのGUIコンソールへのログインに使用したものと同じ(大/小文字の区別を含む)ユーザー名を使用しないかぎり、セッション・チェックアウトは「チェックアウト」に表示されません。
Oracle Privileged Account Managerのアイデンティティ・ストアの検索は、大きなユーザー・ベースを検索時には適切に実行されない可能性があります。
Oracle Privileged Account Managerは、アイデンティティ・ストア内でユーザーおよびグループを検索する際にcontains検索を実行します。contains索引がなかったり、うまく実行されなかったりする可能性があるため、一部のアイデンティティ・ストアではcontains検索はコストが高くなる可能性があります。また、ユーザー検索を実行する際にOracle Privileged Account Managerは、ユーザーのログインID、メール、名前および姓で指定された検索キーワードを検索します。ユーザー検索で複数の属性を検索することはパフォーマンスの問題を引き起こす可能性があり、これはアイデンティティ・ストア検索時にタイムアウトの問題として表れます。
回避策: この問題に対処するには、BLRパッチ#18621722を適用します。
このパッチはアイデンティ・ストア検索のデフォルト検索動作を変更します。このパッチを適用した後、Oracle Privileged Account Managerはデフォルトでユーザーおよびグループ参照の両方で"beginswith"検索を実行します。ただし、この検索動作はOracle Privileged Account Managerコンソールから構成可能です。サーバー構成ページにアイデンティティ・ストア検索フィルタ構成パラメータが表示されるようになります。このパラメータに許可されているパラメータはbeginswithまたはcontainsです。
また、ユーザー属性検索は1つの属性(ログインID)に制限されるようになりました。
BLRパッチ#18621722は、次の場所にあるMy Oracle Supportからダウンロードできます。
Oracle Privileged Account Managerサーバー操作が次のようなエラー・メッセージで失敗することがあります。
<Reached maximum capacity of pool "opamDS", making "0" new resource instances instead of "1".>
このエラーはOracle Privileged Account Manager サーバーのデータベース接続が切断されたときに発生します。WebLogic接続プールの最大サイズがとても低い値(15など)に設定されているため、同時使用が頻繁にこの制限を超えて問題を引き起こします。接続プールの最大サイズを増やすことでこの問題を修正できます。まれに、Oracle Privileged Account Managerがパスワード・ポリシーおよび使用状況ポリシーを適用するために使用するバックグラウンド・スレッドが接続を失う可能性があります。接続が失われるのは競争状態のときのみのため、この状況は一貫性なく発生します。
回避策: この問題に対処するには、BLRパッチ#18347777を適用します。このパッチは、次の場所にあるMy Oracle Supportからダウンロードできます。
この項では、構成に関する問題およびその回避策について説明します。次のトピックが含まれます:
-m joinでconfigureSecurityStore.pyを使用してwlst.shを実行中に、ORACLE_HOMEやMW_HOMEなどの変数を使用すると、セキュリティ・ストアの構成では、ポリシー・ストア・オブジェクトの作成に失敗します。
-m joinに対してコマンドを実行するときは、常にORACLE_HOMEおよびMW_HOMEの絶対パスを使用してください。
Oracle Privileged Account Managerの特権アカウントは、Oracle Credential Store Frameworkとアカウント証明書を同期するためにオプションでCSFマッピングを含めることができます(『Oracle Fusion Middleware Oracle Privileged Account Manager管理者ガイド』のCSFマッピングの追加に関する項を参照)。
Oracle Privileged Account Managerコマンド行ツール(CLI)のexportコマンドは、このようなオプションで構成されたCSFマッピングをXMLファイルにエクスポートしません。このため、Oracle Privileged Account ManagerデータをXMLにエクスポートし、エクスポートしたXMLからデータをインポートして戻すと、CSFマッピングがなくなります。
回避策: 次の手順でCSFマッピングを手動で更新する必要があります。
CLI retrieveaccountコマンドを使用してCSFマッピングを含むアカウントの詳細を取得します。(『Oracle Fusion Middleware Oracle Privileged Account Manager管理者ガイド』のretrieveaccountコマンドに関する項を参照してください。)
retrieveaccountコマンドを使用して、関連するアカウントの詳細情報をフェッチおよび保存します。
exportコマンドを使用してデータをエクスポートします。
importコマンドを使用してデータをインポートします。
保存したアカウントの詳細情報を使用して、関連するアカウントのCSFマッピングを手動で更新します。(『Oracle Fusion Middleware Oracle Privileged Account Manager管理者ガイド』のCSFマッピングの追加に関する項を参照してください。)
この項では、次のドキュメントの訂正情報を示します。
Oracle Fusion Middleware Oracle Privileged Account Manager管理者ガイド
Oracle Fusion Middleware Identity and Access Managementパッチ適用ガイド
現在、『Oracle Fusion Middleware Oracle Privileged Account Manager管理者ガイド』に補足するドキュメントの問題はありません。
この項には、『Oracle Fusion Middleware高可用性ガイド』の訂正箇所が含まれます。
『Oracle Fusion Middleware高可用性ガイド11g リリース2 (11.1.2.1.0)』(原本部品番号E28391-04)では、次の項目が更新されています。
第9.8.5.3項と第9.8.5.4.1項のOracle Identity and Access Managementのインストールと構成で、ガイドのリリース番号を「11.1.2.1.0」に差し替える必要があります。
第9.8.5.4.1項「OPAMHOST1でのOracle Identity Managementの構成」で、2つめの項目(Oracle Identity and Access Managementソフトウェアのインストール)の後に次の手順を追加します: 「Oracle Privileged Account Managerでは、オプションでOracle Database TDE(透過的データ暗号化)モードで実行できます。詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』の9.4項「Oracle Privileged Account Managerデータ・ストアのTDEの有効化」を参照してください。
第9.8.5.4.5項「OPAMHOST1でのOracle Privileged Account Managerの起動」の末尾に、次の項目を追加します: 「詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』の9.9項「ユーザーへのアプリケーション構成者ロール割当て」と、9.10項「オプション: 非TDEモードの設定」を参照してください。第9.10項「オプション: 非TDEモードの設定」は、ガイド内の第9.8.4.1項「Oracle Identity and Access Managementのインストールと構成」の説明に従ってTDEを設定しなかった場合のみ必要になります。
この項では、『Oracle Fusion Middleware dentity and Access Managementパッチ適用ガイド』 11g リリース2 (11.1.2.1.0) (原本部品番号E36789-02)のドキュメントの訂正箇所について説明します。
『Oracle Fusion Middleware Identity and Access Managementパッチ適用ガイド』で説明されている、Oracle Privileged Account Managerへのパッチ適用に関する説明の項は順番を修正する必要があります。Oracle Privileged Account Managerにパッチを適用するときは、次の順序で手順を実行する必要があります。
Oracle Privileged Account Managerデータ・ストアでTDEを有効にするかまたは
非TDEモードを構成します。
アップグレード前のOPAMデータのインポート
さらに、『Oracle Fusion Middleware Identity and Access Managementパッチ適用ガイド』で説明されている項を次のように並べ替える必要があります。
3.7.5「オプション: Oracle Privileged Account Managerデータ・ストアでのTDEの有効化」
3.7.6. 「オプション: 非TDEモードの構成」
3.7.7「アップグレード前のOPAMデータのインポート」
